Professor Heron Duarte
Especialista em Inteligência
Segurança da Informação
[email protected]
Segurança da Informação
• Segurança da Informação é a proteção da informação
de vários tipos de ameaças para garantir
a continuidade do negócio, minimizar o risco ao negócio.
Podemos ainda definir Segurança da
Informação como




uma área do conhecimento dedicada
à proteção de ativos da informação
contra acessos não autorizados,
alterações indevidas ou a sua
indisponibilidade.
O ciclo de vida da informação
Geralmente é composto por 4 etapas




Manuseio: Local onde se iniciou o ciclo e onde a
informação é manipulada.
Armazenamento : Momento em que a informação é
armazenada, (pode ser em papel, em mídia CD etc.).
Transporte: Momento do envio ou transporte (pode
ser correio eletrônico, fax, sinais).
Descarte: Momento em que a informação é eliminada,
apagada (destruída de forma definitiva).
O método PDCA –
(Plan, Do, Check e Action)




Plan: o profissional responsável deverá definir o que quer. Deverá
planejar o que será feito e estabelecer metas. Deverá definir os métodos
que permitirão atingir as metas propostas.
Do: o profissional responsável deverá tomar iniciativas como: educar e
treinar as pessoas envolvidas, implementar e executar o planejado
conforme as metas e métodos definidos.
Check: o profissional responsável deverá observar os resultados obtidos
e verificar continuamente os trabalhos afim de ver se estes estão sendo
executados da forma definida.
Action: o profissional responsável deverá fazer correções de rotas e
tomar ações corretivas ou melhorias, caso tenham sido constatadas na
fase anterior a necessidade de corrigir ou melhorar processos.
Segurança da Informação
ATIVO: Ativo: qualquer elemento que tenha valor para uma
organização
Valor do Ativo: quantificação de perda de determinado ativo
quando esse tem sua confidencialidade, integridade ou
disponibilidade afetadas.
Ativos
Categoria de ativos
Exemplo
Tangíveis
Informações impressas ou digitais
Impressoras
Móveis de escritório
Intangíveis
Imagem de uma empresa
Confiabilidade de um órgão federal
Marca de um produto
Segurança da Informação
ATIVO: É tudo aquilo que possui valor para uma organização.
Exemplo de classificação dos ativos:
Categoria de ativos
Exemplo
Lógicos
Dados armazenados em um servidor
Físicos
Estação de trabalho, sistema de ar-condicionado
Humanos
Empregados, prestadores de serviços
O que é a Segurança da informação?
Primeiras idéias:




Proteção das informações
Proteção dos dados
Proteção das máquinas
Proteção dos sistemas
Segurança da Informação
Mais ainda:
• Segurança da Informação é obtida a partir da
implementação de um conjunto de controles adequados,
incluindo políticas, processos, procedimentos,
estruturas organizacionais e funções de
software e hardware.
Segurança da Informação
Segurança é manter os ATIVOS do ambiente sistêmico,
garantido sua estabilidade conforme sua:
• Confidencialidade,
• Integridade,
• Disponibilidade.
Agindo em seu manuseio, armazenamento, transporte e
descarte.
Segurança da Informação
Os 3 princípios básicos:
Confidencialidade
Toda informação deve ser protegida conta acesso de pessoas não
explicitamente autorizadas.
Integridade
Toda informação deve ser protegida afim de se evitar que dados sejam
apagados ou alterados de alguma forma não autorizada.
Disponibilidade
Toda informação deve ser protegida afim de que os serviços de informática
de tal forma que não sejam degradados ou tornados indisponíveis.
Segurança da Informação
Os Aspectos da Segurança:
Autenticação
Processo de identificação e reconhecimento formal da identidade dos
elementos que entram em comunicação ou fazem parte de uma transação
eletrônica.
Legalidade
característica das informações que possuem valor legal dentro de um
processo de comunicação, estando de acordo com as cláusulas contratuais
pactuadas ou a legislação política institucional, nacional ou internacional
vigentes.
CIDAL
C
-
Confidencialidade
I
-
Integridade
D
-
Disponibilidade
A
-
Autenticação
L
-
Legalidade
Outros conceitos de CIDAL





Confidencialidade: a informação estará acessível somente para
pessoas autorizadas.
Integridade: as informações e os métodos de processamento
somente podem ser alterados através de ações planejadas e
autorizadas.
Disponibilidade: os usuários autorizados devem ter acesso à
informação e aos ativos correspondentes, sempre que necessário
para o desenvolvimento de suas atividades.
Autenticidade: para evitar o não-repúdio, ou não recusa, deverá
ser garantido a autenticidade da fonte. Essa é a garantia que o
emissor de uma mensagem é quem realmente diz ser.
Legalidade: é a situação de conformidade com as leis atualmente
vigentes no pais.
Segurança da Informação
Vulnerabilidades
Ameaças
Elementos de segurança
 Identificação
e Autenticação: distinguir,
determinar e validar a identidade do
usuário/entidade (se é quem diz ser)
 Controle de acesso: limitar/controlar nível de
autorizações de usuários/entidades a uma
rede, sistema ou informação
 Não-repúdio: impedir que seja negada a
autoria ou ocorrência de um envio ou
recepção de informação
Elementos de segurança



Integridade: impedir informação/transmissão de ser
alterada/ danificada de forma não-autorizada,
imprevista ou acidental
Confidencialidade: proteção da informação contra
descoberta ou interceptação não autorizada;
privacidade
Disponibilidade: confiabilidade de redes, sistemas e
equipamentos sobre evitar ou se recuperar de
interrupções
Princípio da integridade da informação

Permite garantir que a informação não
tenha sido alterada em seu conteúdo e,
portanto, é íntegra

Uma informação íntegra é uma informação
que não foi alterada de forma indevida ou
não autorizada
Princípio da confidencialidade da
informação

Garantir que apenas a pessoa correta tenha acesso
à informação que queremos distribuir

Deverá ser mantido para que as pessoas nãoautorizadas não tenham acesso a ela

Ter a segurança de que o que foi dito a alguém ou
escrito em algum lugar só será escutado ou lido
por quem tiver autorização para tal

Ocasiona perda de segredo
Princípio da disponibilidade
da informação

Garantir que as informações essenciais ao negócio da
empresa estejam disponíveis o maior tempo possível

Conhecer seus usuários para que se possa organizar e
definir as formas de disponibilização, garantindo, conforme
cada caso, seu acesso e uso quando necessário

A disponibilidade da informação deve ser considerada com
base no valor que a informação tem e no impacto resultante
de sua falta de disponibilidade
Princípio da disponibilidade
da informação
Principais ações para garantir a disponibilidade da informação:

A configuração segura de um ambiente em que todos os
elementos que fazem parte da cadeia de comunicação

Cópias de segurança – backup

Definir estratégias para situações de contingência

Estabelecer rotas alternativas para o trânsito da informação,
para garantir seu acesso e a continuidade dos negócios
Políticas de Segurança

Conjunto de normas e diretrizes destinadas para proteção
dos bens da organização

Definir a forma da utilização dos seus recursos através de
procedimentos para prevenir e atender incidentes de
segurança

As ameaças são agentes capazes de explorar as falhas de
segurança, que denominamos Vulnerabilidades (pontos
fracos), e, como conseqüência, provocar perdas ou danos
aos ativos de uma empresa, afetando os seus negócios
Política de segurança



Item 5 da ISO 17799:2005
É um conjunto de leis, regras e práticas que regulam
como uma organização gerencia, protege e distribui
suas informações e recursos. É um documento que
formaliza e detalha todo o conceito informal ou formal
sobre segurança, podendo este ser físico ou lógico e
que deverá ser aplicado na empresa.
Permite o estabelecimento de limites (direitos e
deveres) dos usuários ou departamentos ao utilizarem
os recursos da empresa.
Os 3 blocos e as camadas de atuação da Política de
Segurança



Diretrizes, Normas e Procedimentos, sendo destinados
respectivamente às camadas estratégica, tática e
operacional:
Camada Estratégica: define o rumo a ser seguido.
Camada Tática: define a padronização para melhor
controlar e fazer com que todos os pontos da empresa
tenham o mesmo nível de segurança.
Camada Operacional: detalha se os procedimentos
estão formalmente descritos. Um procedimento deverá
possuir apenas um método de execução.
Filosofia dos Planos


Fechado: tudo aquilo que não é permitido é
explicitamente proibido.
Aberto: tudo aquilo que não é proibido
explicitamente é permitido.
Os 4 P’s dos planos de Segurança
Existem diversas filosofias para planos de segurança:
Eis os principais tipos:




Paranóico: tudo é proibido, mesmo aquilo que deveria
ser permitido.
Proibitivo: tudo aquilo que não é permitido é
explicitamente proibido.
Permissivo: oposto ao proibitivo. tudo aquilo que não é
proibido é explicitamente permitido.
Promíscuo: tudo é permitido, incluindo aquilo que
deveria ser proibido.
Segurança da Informação
Medidas de Segurança
São as práticas, os procedimentos e os mecanismos usados para
a proteção da informação e seus ativos, que podem impedir que
ameaças explorem vulnerabilidades.
São ações voltadas à eliminação de vulnerabilidades com vista a
evitar a concretização de uma ameaça.
Medidas de Segurança

Podem ter as seguintes características:



Preventivas,
Detectáveis,
Corretivas
Segurança da Informação
Medidas de Segurança
Preventivas
Medidas de segurança que tem o objetivo de evitar que incidentes venham a ocorrer.
Visam manter a segurança já implementada por meio de mecanismos que estabeleçam
a conduta e a ética da segurança na instituição.
São: Políticas de Segurança; instruções e procedimentos de trabalho; campanhas e
palestras de conscientização de usuários; ferramentas como firewall, antivírus, etc...
Segurança da Informação
Medidas de Segurança
Detectáveis
Medidas de segurança que visam identificar condições ou indivíduos causadores de
ameaças, a fim de evitar que as mesmas explorem vulnerabilidades.
São: análise de riscos; sistemas de detecção de intrusão; alertas de segurança; câmeras
de vigilância, alarmes, etc...
Segurança da Informação
Medidas de Segurança
Corretivas
Ações voltadas à correção de uma estrutura tecnológica e humana para que as
mesmas se adaptem às condições de segurança estabelecidas pela instituição,
ou voltadas à redução dos impactos;
São: equipes para emergências, restauração de backup; plano de continuidade
operacional; plano de recuperação de desastres; etc...
A segurança é um fator crítico de
sucesso

A segurança se faz protegendo todos os elos
da corrente, todos os ativos que compõem seu
negócio. Se algum componente falhar, todo o
processo estará prejudicado.
Procedimentos de Segurança







Características de um plano de segurança:
ser fácil de entender ou não será posto em prática;
ter sua finalidade explicada ou será ignorado;
ser implementado com energia ou exceções serão
criadas e virarão regras;
possuir sanções para os violadores;
cada colaborador deverá conhecer apenas os
procedimentos de segurança que lhe dizem respeito;
deve estar documentado formalmente e incluir
diretivas claras.
Formato dos procedimentos de segurança
Formato dos procedimentos de segurança
O procedimento de segurança deverá possuir as
seguintes características:
 ser aprovado pelo mais alto nível da hierarquia da
empresa.
 ser claro, ser conciso.
 ser elaborado por um responsável direto.
 ser dirigido para atingir o nível de segurança adequado
aos bens que se quer proteger.
 causar o mínimo de alterações no funcionamento da
organização....





não deve ser muito específico.
ser possível executar.
deve quantificar os recursos necessários para
seu funcionamento.
deve prever as ações concretas e quem as
realiza.
deve prever o que fazer em casos de falha na
execução dos procedimentos (plano B).
Fatores para o sucesso da política de
segurança





A política de segurança deverá ter o aval da pessoa
mais graduada (CEO, Presidente, etc), a fim de evitar
tentativas de coação / pressão dos administradores.
Possuir cultura organizacional (consciência coletiva).
A alta direção deve estar comprometida e dar amplo
apoio aos seus implementadores.
Deve ter bom entendimento dos requisitos de
segurança, avaliação e gestão de riscos.
A presença de um marketing interno eficaz para a
segurança dentro da organização.





Divulgação para todos os funcionários e
contratados (Guia da Política de Segurança da
Informação).
Treinamento.
Alocação de recursos pessoais e financeiros.
Procurar embasamento jurídico,
principalmente no tocante a ações / punições
eventuais a serem aplicadas.
E muita cooperação!!!
Início de análise de risco

Não se pode se proteger de algo que não se
conheça. Com o conhecimento dos riscos é
possível planejar as políticas e procedimentos
que poderão ser implementados para a sua
redução.
Os três pilares da segurança



Segurança Física.
Segurança Técnica.
Segurança Lógica.
Riscos



Probabilidade de que as ameaças explorem os
pontos fracos.
Causam perdas ou danos aos ativos e
impactos no negócio.
Acarreta perda de: confidencialidade, a
integridade e a disponibilidade da informação
Risco =
Ameaça x Vulnerabilidade x Valor do patrimônio
O que é a análise de risco?



É o processo de avaliar o que é ou não
aceitável para uma organização num
determinado contexto.
Só devemos aceitar um risco quando o custo
do controle aplicado para mitigá-lo for maior do
que o custo do próprio bem em risco.
O nível de risco no qual uma organização
aceita operar é denominado de risco aceitável
Análise de Risco: o que se diz, o que se faz, e o
que realmente é
Os cinco pontos são:
1. Identificação e Classificação dos Processos de Negócio.
2. Identificação e Classificação dos Ativos
3. Análise de Ameaças e Danos
4. Análise de Vulnerabilidades
5. Análise de Risco
Norma


Utiliza-se como métrica as melhores
práticas de segurança da informação do
mercado, apontadas na norma ISO/IEC
17799. A partir destas informações faz-se
possível a elaboração do perfil de risco que
segue a fórmula:
RISCO. =
(Ameaça) x (Vulnerabilidade) x (Valor do Ativo)
Análise de risco

Como analisar o meu risco?
Existem diversas formas de calcular o risco,
tudo dependerá dos índices a serem utilizados.
Fórmula: Risco = ((A x V x I)/M)
R = Risco
A = Total das Ameaças
V = Total das Vulnerabilidades
I = Total dos Impactos
M = Medidas de Proteção
Acrescentando-se a variável P, probabilidade
de ocorrer o evento (vezes por ano),
Ficaria então: ((A x V x I)/M)*P
O conceito de análise de risco
Intimamente relacionado à figura de
Competitive Intelligence (Inteligência
Competitiva). Agrega “solidez” à informação
corporativa. Com a condição de controlar as
ameaças, poderemos derivar dessa ferramenta
o conceito de “administração de cenários.
Aspectos na análise de risco



Deve ser feita considerando vários
aspectos como:
ativos;
ameaças;
vulnerabilidades.
Para cada cenário deverão ser previstos :




os prejuízos;
recursos envolvidos para evitar a
concretização do risco no cenário;
custos;
benefícios.
Técnicas de análise de risco
1. Análise subjetiva: Sessão de “brainstorming”.
Documentos são elaborados com base em
vários cenários.
2. Análise quantitativa: Mensurar os impactos
financeiros gerados por uma situação de
quebra de segurança, a partir da valoração
dos próprios ativos. Para cada ameaça
quantificar a sua incidência, estimar o valor
dos prejuízos que pode causar e o custo de
combater as ameaças.

Análise qualitativa: Critérios para estimar os
impactos sobre os negócios, provocados pela
exploração de uma vulnerabilidade por uma
ameaça. Tem base em critérios e
classificações que podem atingir valores
tangíveis e intangíveis. Demonstra eficiência
superior, abrange o processo como um todo.
Avaliar e Quantificar os Ativos


Definir o valor das informações e dos serviços
do ponto de vista dos terceiros envolvidos e do
esforço necessário para recriar as
informações.
Basear-se no custo da perda ou roubo de
informação ou na queda de um serviço para
avaliar o custo do recurso, cujo valor deve
refletir todos os custos que poderiam surgir se
houvesse algum problema com esse recurso.
Como avaliar e priorizar estes ativos, usando
como base o SRMD
(Security Risk Management Discipline)
Prioridades do Ativo



Prioridade 1: O servidor fornece funcionalidade básica,
mas não tem impacto financeiro nos negócios.
Prioridade 3: O servidor hospeda informações
importantes, mas que podem ser recuperados
rapidamente e com facilidade.
Prioridade 5: O servidor possui dados importantes e
que demorariam muito tempo para serem recuperados.


Prioridade 8: O servidor possui informações para os
objetivos de negócio da empresa. A perda dessas
informações pode interromper projetos e o serviço
diário de todos os usuários, o que causaria uma queda
muito grande na produtividade da empresa.
Prioridade 10: O servidor causa um grande impacto no
negócio da empresa. A perda deste servidor ou a
divulgação destas informações poderiam causar
desvantagem competitiva da sua empresa.
Exemplo
Identificação dos ativos
Ativos físicos:





Equipamentos computacionais 
(processadores, monitores,

laptops, modems).
Equipamentos de comunicação 
(roteadores, PABX’s , fax,

secretárias eletrônicas).

Mídias magnéticas (fitas e

discos).
Outros equipamentos técnicos 
(no-breaks, ar-condicionado). 


Mobília e acomodações.
Serviços:
Computação e serviços de
comunicação.
Utilidades gerais
Climatização.
Iluminação.
Eletricidade.
Refrigeração.
Aplicativos.
Sistemas.
Utilitários.
Risco, Vulnerabilidade, Ameaça e Impacto
Ameaças

Agentes ou condições que causam incidentes
que comprometem as informações e seus
ativos pela exploração de vulnerabilidades.
Provocam perdas de confidencialidade,
integridade e disponibilidade. Causam impactos
sobre os negócios de uma organização.

São agentes capazes de explorar as falhas de
segurança
Sub-conceitos da Ameaça



Intenção: tende a ser dependente de
indústria. Roubo de dados, por exemplo. Não
pode ser influenciado por ações de Segurança.
Oportunidade: timing apropriado e
conhecimento do alvo.
Capacidade: é a habilidade financeira,
humana e técnica de alcançar o objetivo de
ataque e aproveitar a oportunidade.



Risco: probabilidade de uma fonte de ameaça
explorar uma vulnerabilidade, resultando em um
impacto para a organização;
Vulnerabilidade: falha ou fraqueza de procedimento,
design, implementação, ou controles internos de um
sistema que possa ser acidental ou propositalmente
explorada, resultando em uma brecha de segurança
ou violação da política de segurança do sistema;
Ameaça: possibilidade de um agente (ou fonte de
ameaça) explorar acidentalmente ou propositalmente
uma vulnerabilidade específica;
Fonte de ameaça:



ou (1) uma intenção e método objetivando a
exploração de uma vulnerabilidade ou (2) uma
situação e método que pode acidentalmente disparar
uma vulnerabilidade;
Identificar Ameaças de Segurança – Identificar os tipos
de ataques é a base para chegar aos Riscos. Existem
as prioridades que são os pontos que podem
comprometer o “Negócio da Empresa”.
O crucial para a sobrevivência da Empresa é crucial
no seu projeto de Segurança.
Conjunto de ameaças=> FVRDNE:
1. Falsificação
 Falsificação de Identidade é quando se usa
nome de usuário e senha de outra pessoa
para acessar recursos ou executar tarefas.
2. Violação
 A Violação ocorre quando os dados são
alterados, sejam em transmissão ou em
arquivos
Conjunto de ameaças=> FVRDNE
3. Repudiação
 A Repudiação talvez seja uma das últimas
etapas de um ataque bem sucedido. É o ato
de negar algo que foi feito. Pode ser feito
apagando as entradas do Log após um acesso
indevido.
Conjunto de ameaças=> FVRDNE
4. Divulgação
 A Divulgação das Informações pode ser tão
grave e/ou custar tão caro quanto um ataque
de “Negação de Serviço”. Informações que
não podiam ser acessadas por terceiros, agora
estão sendo divulgadas ou usadas para obter
vantagem em negócios.
Conjunto de ameaças=> FVRDNE
5. Negação de Serviço (DoS)
 O objetivo deste ataque é parar algum serviço.
Como, por exemplo, “Inundar” uma rede com
pacotes
6. Elevação de Privilégios
 Acontece quando o usuário mal-intencionado
quer executar uma ação da qual não possui
privilégios administrativos suficientes.
Quem pode ser uma ameaça?
1. Principiante – não tem nenhuma experiência em
programação e usa ferramentas de terceiros.
Geralmente não tem noção do que está fazendo
ou das conseqüências daquele ato.
2. Intermediário – tem algum conhecimento de
programação e utiliza ferramentas usadas por
terceiros.
3. Avançado – Programadores experientes,
possuem conhecimento de Infra-Estrutura e
Protocolos. Podem realizar ataques
estruturados.
Ameaças
 Roubo
/ Vazamento de Informações
 Alteração de informações
 Danos físicos
 Indisponibilidade
 Violação da integridade
 Acesso não autorizado
 Uso indevido
 Ameaças programadas (vírus, worms, trojans)
 Espionagem
Ameaças
3 Grandes Grupos
Naturais
Intencionais
Fenômenos da natureza
Aquelas propositais
e suas intempéries
Incêndios,
Enchentes,
Terremotos,
Maremotos,
Aquecimento,
Poluição,
Etc...
Causadas por agentes humanos:
Hackers,
Invasores,
Espiões,
Ladrões,
Vírus,
Etc...
Involuntárias
Ações inconscientes
Causadas pelo
desconhecimento.
Acidentes,
Erros,
Falta de energia,
Etc...
Vulnerabilidade



Fragilidade presente ou associada a ativos que
manipulam e/ou processam informações que, ao ser
explorada por ameaças, permite a ocorrência de um
incidente de segurança, afetando negativamente um ou
mais princípios da segurança da informação:
Confidencialidade, Integridade e Disponibilidade.
Por si só não provocam incidentes, são elementos
passivos, necessitando para tanto de um agente
causador ou condição favorável, que são as ameaças.
São as falhas que são exploradas pelas ameaças.
Exemplos de vulnerabilidade
Físicas
Instalações prediais fora do padrão;
Salas de CPD mal planejadas;
Falta de extintores;
Risco de explosões;
Vazamentos;
Incêndios.
Naturais
Incêndios,
Enchentes,
Terremotos,
Tempestades,
Falta de energia,
Acúmulo de poeira,
Aumento de umidade e de temperatura.
Vulnerabilidades


Os ataques com mais chances de dar certo
são aqueles que exploram vulnerabilidades.
A execução apropriada de uma "classificação
dos ativos" seguida de uma "análise de risco"
em uma organização complexa é uma tarefa
praticamente impossível, dada a quantidade
de fatores desconhecidos na equação de risco.
Ações


Uma abordagem de tratamento ou análise de
ameaças é mais efetiva quando executada
apropriadamente pela de Segurança de Informações.
Isso envolve várias ações:
A detecção e a mitigação das vulnerabilidades
presentes em sistemas críticos é o mínimo a ser feito.
O histórico dos incidentes tratados (post-mortem...),
as ações tomadas contra as fontes de ameaça
identificadas e o entendimento e mitigação de seu
modus operandi são fundamentais.
Ações



O envolvimento com outras áreas da empresa que
lidam com Risco da Tecnologia ou da informação é
primordial.
O constante convencimento da importância em
diminuir o esforço e foco nas vulnerabilidades (O
COMO) e atacar de frente as ameaças (O QUEM),
incluindo a penalização interna ou envolvimento do
jurídico para ações externas.
O envolvimento com outras áreas da empresa que
lidam com Risco da Tecnologia ou da Informação.
Ações

A empresa somente é capaz de responder
adequadamente quando se esforça em
conhecer progressivamente todos os fatores
desta equação: que vulnerabilidades possui,
a que ameaças está suscetível, quais agentes
estão envolvidos e qual são os impactos
históricos e possíveis da exploração destas
ameaças.
Ações

Para uma abordagem realista e eficiente dos desafios
de segurança da informação para os negócios da
empresa exige uma abordagem ampla com foco nas
ameaças. Isso funciona melhor quando é
institucionalizado um fórum inter-departamental com
um grupo de trabalho técnico e outro executivo.
Assim, é possível mover a Segurança da Informação
da sua função tradicional e trazê-la para um campo
estratégico de proteção dos interesses da
empresa/órgão de seus adversários e ameaças reais
Conhecendo os riscos, ameaças e
vulnerabilidades poderemos tomar 4 atitudes




Aceitar: só se justifica quando o custo de
implementação é maior que o impacto negativo que o
risco poderá trazer.
Diminuir: colocar em práticas ações com o objetivo de
reduzir o risco.
Ignorar: Não dar nenhum tipo de importância e
acreditar que nada irá acontecer.
Transferir: transferir o risco para um terceiro, criando
compensações, quase sempre menores, sobre as
perdas.
Impacto

Conceito utilizado para medir os efeitos
positivos ou negativos que uma determinada
atividade pode causar.
Por exemplo:
impacto



Perda financeira; Abalo na imagem; Multas ou
sanções; Perda de investidores; Prejuízo
operacional; Aumento no custo operacional;
Parada no negócio da empresa; Perda de
ativos;
Alteração na quantidade de pessoas para a
execução do processo; Redução da margem
de lucro e etc..
Impacto = Gravidade x Urgência x Tendência
Medidas de segurança PDCR.




Podem ser estabelecidas em função do parâmetro de
tempo e necessidade, podendo ser de 4 tipos
Preventivas: ação de tentar evitar que o problema
ocorra.
Detectivas: ação de detectar um determinado
problema.
Corretivas: ação de corrigir algo que as outras duas
ações não conseguiram evitar.
Restauradoras: recuperar algo perdido..
Mapeamento de processos


Identificar e mapear os processos internos é
uma atitude que ajuda a empresa a se tornar
mais competitiva otimizando o tempo e
alcançando melhores resultados.
Qualquer organização é composta por um
conjunto de processos tanto de natureza
técnica como social, que são as atividades de
negócio típicas que a empresa desenvolve.
Matriz de G.U.T (Gravidade, Urgência e
Tendência)
A prioridade das ações a serem executada
pode ser encontrada utilizando a matriz de
GUT.
A definição da prioridade final é composta
pela análise e pelo produto das 3 dimensões
do GUT
Impacto =
Gravidade X Urgência x Tendência.
Dimensões da Matriz de GUT
1. Dimensão gravidade
 Considera a severidade dos impactos relacionados ao
processo do negócio analisado.
2. Dimensão urgência
 Considerar o tempo da duração dos impactos
relacionados ao processo de negócio que está sendo
analisado.
3. Dimensão tendência
 Considerar a oscilação dos impactos relacionados ao
processo analisado.
Matriz de GUT

Os valores obtidos depois da análise são
multiplicados gerando o impacto final, sendo
que a faixa dos valores possíveis vai de 1 a
125. O objetivo da matriz de GUT é facilitar a
identificação rápida dos processos e suas
prioridades.
Cores
1 a 42
VERDE
43 a 83 AMARELA
84 a 125 VERMELHA
Dessa forma, poderá ser visto qual ativo ou
processo tem maior impacto negativo em caso
de incidente.
Segurança da Informação
Portanto:
Segurança é uma prática
voltada à eliminação de Vulnerabilidades.
para reduzir os Riscos
de uma Ameaça se concretizar
no ambiente que se quer proteger.
Objetivos da Segurança

Conhecer os diferentes tipos de ativos na empresa para
identificar tudo aquilo que a segurança da informação deve
proteger

Detectar possíveis vulnerabilidades relacionadas com esses
ativos para o preparo de sua proteção

Conhecer os princípios básicos da segurança da informação:
confidencialidade, disponibilidade e integridade, com a
finalidade de valorizar a importância desses conceitos ao
lidar com a informação
Definição de Segurança
Um mecanismo de Segurança da
Informação providencia meios para reduzir
as vulnerabilidades existentes em um
Sistema de Informação
Segurança envolve tecnologia, processos e
pessoas
SEGURANÇA = CULTURA + TECNOLOGIA
Processos+ Componentes
humanos (variáveis
imprevisíveis)
impedem uma total automação da
segurança
Tecnologia
Pessoas
Processos
PROBLEMAS TÉCNICOS
(variáveis previsíveis)
Como implementar uma Política de
Segurança significa responder algumas
questões:
O que proteger?
–
–
–
–
–
–
–
–
Contra que ou quem?
Quais são as ameaças?
Qual a importância de cada ativo?
Como é a proteção de cada ativo/
Qual o grau de proteção desejado?
Quanto se pretende gastar para atingir os objetivos da
segurança?
Quais as expectativas dos clientes em relação à segurança?
Quais as conseqüências para a organização da exposição
aos riscos?
Mapeamento de processos
Identificar e mapear os processos internos é uma
atitude que ajuda a empresa a se tornar mais
competitiva otimizando o tempo e alcançando
melhores resultados. Trata-se de uma
ferramenta simples, que pode ser adotada por
organizações de qualquer porte ou área de
atuação, com inúmeros ganhos principalmente
na segurança da informação.(...)
Mapeamento de processos
(...) Qualquer organização é composta por um
conjunto de processos tanto de natureza
técnica como social. Estes processos são as
atividades de negócio típicas que a empresa
desenvolve para gerar valor, satisfazer as
necessidades dos seus clientes e criar
rendimento.
Controle e Mitigação




Criação de várias alternativas de mitigação
Avaliação e seleção de alternativas
Incorporar opções no Gerenciamento de
Riscos e planejamento do projeto
Estratégias para mitigação
Soluções de mitigação







Recusa
Redução
Divisão
Transferência
Seguro
Aceitação com contingência
Aceitação sem contingência
CAPACIDADE DE MITIGAÇÃO

Após a aplicação do controle, o
risco residual está abaixo das
expectativas da empresa. 3
b) Após a aplicação do controle, o
risco residual está em linha com
as expectativas da empresa. 2
c) Após a aplicação do controle, o
risco residual está acima das
expectativas da empresa. 1
TIPOS DE ATRIBUTOS DE
CONTROLE
a) A aplicação do controle está
formalmente estabelecida através de
normas e instruções escritas. 3
b) O controle permite testes
periódicos. 2
c) O controle corresponde a padrões
de boa prática referendados pelo
mercado. 1
Ameaças
Exploram
Impedem
Vulnerabilidades
Medidas de Segurança
Expondo
Limitados
RISCOS
Ativos
Impacto
Causam
Perdas
Confidencialidade, Integridade, Disponibilidade